Форум Kerio-rus

Вернуться   Форум Kerio-rus > Продукты > Kerio Control (бывший Winroute Firewall)

Важная информация

Ответ
 
Опции темы
Старый 08.11.2019, 14:30   #1
OXPEHETb
 
Аватар для OXPEHETb
 
Регистрация: 23.01.2017
Адрес: Краснодар
Сообщений: 7
Восклицание Режет скорость VPN тунеля

Доброго дня коллеги!

Помогите советом дельным или опытом, как поднять скорость передачи локальных данных через Kerio VPN туннель?

Имеется 2 удалённые локальные сети А и Б (каналы 80 мбит/с и 70 мбит/с), управляемые Kerio Control, обе официально лицензированы, между ними проброшен Kerio VPN туннель, никаких проблем при настройке не было, сети видят друг друга, но скорость передачи локальных данных полное дерьмо, не поднимается выше 700 кбит/с, через некоторое время всегда опускается до 355 кбит/с и стабильно держится, это наводит на мысль что скорость искусственно режется на стороне фаеровола (через RDP сессию скоростя выше), канал интернета, с обоих сторон, Kerio раздаёт в полном объёме. Сертификат для туннеля сети А самоподписан, и при проверки его с туннеля на стороне сети Б прекрасно читается, сертификат тунеля сети Б дефолтный, и его не удаётся проверить на Kerio сети А (повыписывал кучу сертификатов с разными параметрами для керио Б, результат тот же), через kerio vpn client, и IPsec скорость та же.

Kerio в сети Б поднят на виртуалке, интернет берёт с авторизованного интерфейса.

Все скрины во вложении надеюсь не сильно разрисовал красным =)
Вложения
Тип файла: rar Скрины сети А.rar (708.2 Кб, 3 просмотров)
Тип файла: rar Скрины сети Б.rar (565.7 Кб, 2 просмотров)
__________________
Loading… █████████[] 99%

Последний раз редактировалось OXPEHETb; 08.11.2019 в 18:40. Причина: правка
OXPEHETb вне форума   Ответить с цитированием Вверх
Старый 08.11.2019, 16:06   #2
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,777
По умолчанию Re: Режет скорость VPN тунеля

а какая скорость нужна там? и почему?

Цитата:
Сообщение от OXPEHETb Посмотреть сообщение
канал интернета Kerio с обоих сторон раздаёт в полном объёме
интересно что покажет [Для просмотра данной ссылки нужно зарегистрироваться] по исходящему трафику на обоих каналах (можно даже тупо два скрина спидтеста сделать)

Цитата:
Сообщение от OXPEHETb Посмотреть сообщение
скорость передачи локальных данных полное дерьмо
в одну сторону? если да, то в какую?
или в обе?
Цитата:
Сообщение от OXPEHETb Посмотреть сообщение
через kerio vpn client, и IPsec скорость та же.
kerio vpn - это ipsec после надфиля, так что ожидаемо.
Цитата:
Сообщение от OXPEHETb Посмотреть сообщение
сети А
а что в интерфейсах делает мертвая (судя по названию) сетевуха? может ее отключить в биосе или вынуть нафиг?
Цитата:
Сообщение от OXPEHETb Посмотреть сообщение
Все скрины во вложении
правило локального трафика на самый верх. для обоих.
особенно для керио А.
Цитата:
Сообщение от OXPEHETb Посмотреть сообщение
как поднять скорость передачи локальных данных через Kerio VPN туннель?
а) хз каким образом заставить последние релизы керио шифровать в щадящий, но ненадежный блоуфиш. и все равно скорость там будет до 20 мбит думаю
б) проверить, что цепочка провайдеров не козявит где-то посреди себя mtu на конкретный трафик ipsec (разве что попробовать временный другой канал с обоих сторон).
в) про правила локального трафика выше.
г) проверить что на обоих фаерах хватает ресурсов по процу и памяти. поотключать IPS, проверить.
д) еще что-то...

е) если совсем ничего не помогло и полтергейст продолжается, то вынести vpn-сервер на отдельный [виртуальный] хост на другом каком софтее
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 08.11.2019, 17:59   #3
OXPEHETb
 
Аватар для OXPEHETb
 
Регистрация: 23.01.2017
Адрес: Краснодар
Сообщений: 7
По умолчанию Re: Режет скорость VPN тунеля

Спасибо за оперативный ответ!

Цитата:
Сообщение от exchar Посмотреть сообщение
интересно что покажет спидтест по исходящему трафику на обоих каналах (можно даже тупо два скрина спидтеста сделать)
Пожалуйста

[Для просмотра данной ссылки нужно зарегистрироваться]

[Для просмотра данной ссылки нужно зарегистрироваться]

Цитата:
Сообщение от exchar Посмотреть сообщение
в одну сторону? если да, то в какую?
или в обе?
Спасибо за подсказку! Самое очевидное как раз и не проверил))
Передача действительно ниже если скачивать данные из сети А находясь в сети Б.
Если тянуть из сети Б скорость поинтересней, 3-5 мбит/с, но это всё ещё не тот результат который хотелось бы видеть.

Цитата:
Сообщение от exchar Посмотреть сообщение
и все равно скорость там будет до 20 мбит думаю
Я примерно на двадцаточку и рассчитывал )


Цитата:
Сообщение от exchar Посмотреть сообщение
а что в интерфейсах делает мертвая (судя по названию) сетевуха? может ее отключить в биосе или вынуть нафиг?
Она условно рабочая) порт раздолбан, в резерве торчит.

Цитата:
Сообщение от exchar Посмотреть сообщение
правило локального трафика на самый верх. для обоих.
особенно для керио А.
Сделал. Не помогло, абсолютно та же картина.

Цитата:
Сообщение от exchar Посмотреть сообщение
проверить что на обоих фаерах хватает ресурсов по процу и памяти. поотключать IPS, проверить.
Ресурсов с большим запасом, IPsec выключил - тож самое.

А что всё таки думаете на счёт сертификата Керио Б (почему его не удаётся прочесть с Керио А?)

И не даёт покоя почему скорость всегда 355, где может задаваться подобное ограничение?
[Для просмотра данной ссылки нужно зарегистрироваться]

Добавлено через 8 минут

Цитата:
Сообщение от exchar Посмотреть сообщение
е) если совсем ничего не помогло и полтергейст продолжается, то вынести vpn-сервер на отдельный [виртуальный] хост на другом каком софтее
я вот тоже думаю поднять VPN за Керио и потестить, по крайней мере сомнения в провайдере откинуть, но это на крайний вариант) повозиться придётся..

Добавлено через 13 минут

Сорян, пропустил вопрос.

Цитата:
Сообщение от exchar Посмотреть сообщение
а какая скорость нужна там? и почему?
Нужна хотя бы 10+, имеется конструкторская БД в сети А, в которой небходимо работать пользователям сети Б, крутится на SQL, добавляется оснасткой через проводник, там тоже были свои проблемы с пробросом DNS, но не суть, решилось всё без Керио, вообщем детальки достаточно много весят и добавляются прямо в конструкторское приложение из плагина, и ясно дело что процесс добавления детали занимает невероятно долгое время (с подвисанием интерфейса проги).
__________________
Loading… █████████[] 99%

Последний раз редактировалось OXPEHETb; 08.11.2019 в 18:42. Причина: правка
OXPEHETb вне форума   Ответить с цитированием Вверх
Старый 08.11.2019, 18:33   #4
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 14,664
По умолчанию Re: Режет скорость VPN тунеля

Цитата:
Сообщение от OXPEHETb Посмотреть сообщение
Цитата:

Пожалуйста

[Для просмотра данной ссылки нужно зарегистрироваться]

[Для просмотра данной ссылки нужно зарегистрироваться]

обе локалки к одному провайдеру подключены?
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 08.11.2019, 19:24   #5
OXPEHETb
 
Аватар для OXPEHETb
 
Регистрация: 23.01.2017
Адрес: Краснодар
Сообщений: 7
По умолчанию Re: Режет скорость VPN тунеля

Цитата:
Сообщение от naliman Посмотреть сообщение
обе локалки к одному провайдеру подключены?
нет... магистраль одна, но на скринах разные провайдеры TeleMAX и TTK.
__________________
Loading… █████████[] 99%
OXPEHETb вне форума   Ответить с цитированием Вверх
Старый 08.11.2019, 19:48   #6
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 14,664
По умолчанию Re: Режет скорость VPN тунеля

а, чота перетрудился я седня, туплю
действительно провы разные - точка спидтеста одна
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 08.11.2019, 20:55   #7
OXPEHETb
 
Аватар для OXPEHETb
 
Регистрация: 23.01.2017
Адрес: Краснодар
Сообщений: 7
По умолчанию Re: Режет скорость VPN тунеля

Цитата:
Сообщение от naliman Посмотреть сообщение
а, чота перетрудился я седня
понимаю коллега, сам на работе до сих пор =)
__________________
Loading… █████████[] 99%
OXPEHETb вне форума   Ответить с цитированием Вверх
Старый 08.11.2019, 21:53   #8
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,777
По умолчанию Re: Режет скорость VPN тунеля

Цитата:
Сообщение от naliman Посмотреть сообщение
действительно провы разные - точка спидтеста одна
насколько я понимаю, ты собирался предложить при одинаковом провайдере взять услугу провайдерского vpn между точками и гонять в этой выделенке данные без подъеме туннеля на керио.
как вариант, ради этого можно и провайдера поменять на одном из концов
у того же ТТК это идет [Для просмотра данной ссылки нужно зарегистрироваться] для бизнеса
из минусов - некий шанс что вместо всех интернетов доступ к пролетающим данным получат админы провайдера.

вообще с ттк (юуттк) давно работал, вариант "оперативно дотянуть оптику с перекрестка через несколько домов" проблем не вызывал (однажды они чуть не перепутали дом, но быстро исправились ). как сейчас с ними - не в курсе.
...
но это не спортивный вариант, а резервный.
Цитата:
Сообщение от OXPEHETb Посмотреть сообщение
https://energokrasnodar-my.sharepoin...CMb1g?e=Ub5J8W
[Для просмотра данной ссылки нужно зарегистрироваться]
лепота!.. )
Цитата:
Сообщение от OXPEHETb Посмотреть сообщение
обе официально лицензированы
и версии последние, т.е. SM проплачен очевидно
и можно невозбранно завести тикет по проблеме на оффсайте в оффподдержке керио
что и советую сделать чтобы время не терять.
Цитата:
Сообщение от OXPEHETb Посмотреть сообщение
Kerio в сети Б поднят на виртуалке
сколько ядер назначено виртуалке? какой гипервизор?
Цитата:
Сообщение от OXPEHETb Посмотреть сообщение
Я примерно на двадцаточку и рассчитывал )
до 20 - это очень растяжимо. причем далеко не вверх )))

Цитата:
Сообщение от OXPEHETb Посмотреть сообщение
Она условно рабочая) порт раздолбан, в резерве торчит.
паяльная станция с феном + прямые руки...
Цитата:
Сообщение от OXPEHETb Посмотреть сообщение
Ресурсов с большим запасом, IPsec выключил - тож самое.
[Для просмотра данной ссылки нужно зарегистрироваться] != IPsec
пробуй заново правильно...
Цитата:
Сообщение от OXPEHETb Посмотреть сообщение
Передача действительно ниже если скачивать данные из сети А находясь в сети Б.
Если тянуть из сети Б скорость поинтересней, 3-5 мбит/с, но это всё ещё не тот результат который хотелось бы видеть.
1) какие частоты ядер сервера, отдаваемых на керио в А и в Б? (в А - Х Mhz, в Б - Y Mhz)
емнип, керио шифрует либой, которая умеет только одно ядро. но с последними релизами я хз.

2) локальный интерфейс керио сети А случаем не перегружен трафиком?
3) логи error и warning на обоих керио пусты?
Цитата:
Сообщение от OXPEHETb Посмотреть сообщение
Сделал. Не помогло, абсолютно та же картина.
значит не дележ ресурсов между компонентами
Цитата:
Сообщение от OXPEHETb Посмотреть сообщение
А что всё таки думаете на счёт сертификата Керио Б (почему его не удаётся прочесть с Керио А?)
недавно всплывала на форуме похожая тема, но там вроде были немного разные релизы. но из последних. решается вводом отпечатка вручную.
Цитата:
Сообщение от OXPEHETb Посмотреть сообщение
И не даёт покоя почему скорость всегда 355, где может задаваться подобное ограничение?
а через rdp-сессию (rdp не в vpn-канале) скорость тоже потом падает или нет?
Цитата:
Сообщение от OXPEHETb Посмотреть сообщение
имеется конструкторская БД в сети А, в которой небходимо работать пользователям сети Б, крутится на SQL, добавляется оснасткой через проводник, там тоже были свои проблемы с пробросом DNS, но не суть, решилось всё без Керио, вообщем детальки достаточно много весят и добавляются прямо в конструкторское приложение из плагина, и ясно дело что процесс добавления детали занимает невероятно долгое время (с подвисанием интерфейса проги).
я бы временно поставил терминальный сервер в сети А с описанным клиентским ПО и пускал из сети B народ по rdp внутри керио vpn
вариант не очень, но это лучше чем например фотошоп по rdp =)
...
чеклист, чтобы не потерять
блоуфиш
mtu
другой vpn-сервис внутри сети
__________________
"Помогая ленивым людям, ты помогаешь им сесть на твою шею" Сян-Цзы
exchar вне форума   Ответить с цитированием Вверх
Старый 08.11.2019, 22:15   #9
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 14,664
По умолчанию Re: Режет скорость VPN тунеля

Цитата:
Сообщение от exchar Посмотреть сообщение
насколько я понимаю, ты собирался предложить при одинаковом провайдере взять услугу провайдерского vpn между точками и гонять в этой выделенке данные без подъеме туннеля на керио.
ну да, обычно провайдеры дают свою инфраструктуру для этих целей в подобных случаях


Цитата:
Сообщение от exchar Посмотреть сообщение
у того же ТТК это идет стандартной опцией для бизнеса
во-во, тем более
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый Вчера, 10:08   #10
©©©®
Песака
 
Аватар для ©©©®
 
Регистрация: 01.07.2015
Адрес: 620000
Сообщений: 67
По умолчанию Re: Режет скорость VPN тунеля

При передаче тяжёлого файла, а вы там засылаете бэкап акрониса, очень грузит процессор, скорее всего из за проверки антивирусом либо из за шифрования (как писалось выше).

И почему в сети "Б" на первом скрине я не вижу "гейт"? вы каким образом отдали WAN с сервера для виртуалки?


Могу предложить в качестве эксперимента использовать не канал Kerio<>Kerio, а связку Kerio-vpn-client "Б">>Kerio "А" и проверить скорость.
©©©® вне форума   Ответить с цитированием Вверх
Ответ


Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 18:24. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.12 by vBS
Copyright ©2000 - 2019, vBulletin Solutions Inc. Перевод: zCarot
© Kerio-rus.ru
Фонарёвка: всё о фонарях